Ein chinesischsprachiger APT-Akteur (Advanced Persistent Threat) mit dem Codenamen MirrorFace wurde für eine Spearphishing-Kampagne verantwortlich gemacht, die auf japanische politische Einrichtungen abzielte.
Die von ESET als Operation LiberalFace bezeichnete Aktion konzentrierte sich auf Mitglieder einer ungenannten politischen Partei in Japan und hatte zum Ziel, ein Implantat namens LODEINFO und einen bisher unbekannten Anmeldedaten-Stealer namens MirrorStealer einzuschleusen.
Nach Angaben des slowakischen Cybersecurity-Unternehmens wurde die Kampagne etwas mehr als eine Woche vor den Wahlen zum japanischen Abgeordnetenhaus am 10. Juli 2022 gestartet.
„LODEINFO wurde verwendet, um zusätzliche Malware zu verbreiten, die Zugangsdaten des Opfers zu exfiltrieren und Dokumente und E-Mails des Opfers zu stehlen“, so ESET-Forscher Dominik Breitenbacher in einem am Mittwoch veröffentlichten technischen Bericht.
MirrorFace soll Überschneidungen mit einem anderen Bedrohungsakteur haben, der als APT10 (auch bekannt als Bronze Riverside, Cicada, Earth Tengshe, Stone Panda und Potassium) verfolgt wird und in der Vergangenheit immer wieder Unternehmen und Organisationen mit Sitz in Japan angegriffen hat.
In zwei Berichten von Kaspersky im November 2022 wurden LODEINFO-Infektionen, die auf Medien, diplomatische Organisationen, Regierungsstellen und öffentliche Einrichtungen sowie Denkfabriken in Japan abzielten, mit Stone Panda in Verbindung gebracht.
ESET sagte jedoch, es habe keine Beweise gefunden, die die Angriffe mit einer bereits bekannten APT-Gruppe in Verbindung bringen, sondern verfolge sie als eigenständige Einheit. ESET beschrieb LODEINFO als „Flaggschiff-Backdoor“, die ausschließlich von MirrorFace verwendet wird.
Die Spearphishing-E-Mails, die am 29. Juni 2022 verschickt wurden, gaben vor, von der PR-Abteilung der politischen Partei zu stammen und forderten die Empfänger auf, die angehängten Videos auf ihren eigenen Social-Media-Profilen zu teilen, um den „Sieg“ bei den Wahlen zu sichern.
Bei den Videos handelte es sich jedoch um selbstextrahierende WinRAR-Archive, mit denen LODEINFO auf dem kompromittierten Computer installiert werden konnte, um Screenshots zu erstellen, Tastatureingaben zu protokollieren, Prozesse zu beenden, Dateien zu exfiltrieren und zusätzliche Dateien und Befehle auszuführen.
Mitgeliefert wurde auch der MirrorStealer Credential Grabber, der Passwörter aus Browsern und E-Mail-Clients wie Becky! ausspähen kann, die vor allem in Japan verwendet werden.
„Nachdem MirrorStealer die Zugangsdaten gesammelt und in %temp%\31558.txt gespeichert hatte, benutzte der Betreiber LODEINFO, um die Zugangsdaten zu exfiltrieren“, erklärte Breitenbacher, da es „nicht die Fähigkeit hat, die gestohlenen Daten zu exfiltrieren“.
Die Angreifer nutzten außerdem eine zweite Stufe der LODEINFO-Malware, die über die Fähigkeit verfügt, portable ausführbare Binärdateien und Shellcode auszuführen.
„MirrorFace hat es weiterhin auf hochrangige Ziele in Japan abgesehen“, so ESET. „Bei der Operation LiberalFace wurden gezielt politische Einrichtungen angegriffen, um die bevorstehenden Wahlen zum Repräsentantenhaus zu ihrem Vorteil zu nutzen.